在上一回,我们了解了namespace和cgroups,我们已经知道:容器的本质是一种特殊的进程。
问题:容器里的进程看到的文件系统又是什么样子的呢?
即使开启了mount namespace,容器进程看到的文件系统也跟宿主机完全一样。只有在“挂载”这个操作发生之后,进程的视图才会被改变。而在此之前,新创建的容器会直接继承宿主机的各个挂载点。
mount namespace根其他namespace的使用略有不同的地方:它对容器进程视图的改变,一定是伴随着挂载操作才能生效。
我们可以在容器进程启动之前重新挂载它的整个“/”。而由于mount namespace的存在,这个挂载对宿主机不可见,所以容器进程就可以在里面随便折腾了。
chroot实现shell中重新挂载根目录
]# mkdir -p test1/{bin,lib,lib64} ]# cp -v /bin/bash /bin/ls test1/bin/ ]# list=`ldd /bin/ls | egrep -o '/lib.*\.[0-9]'` ]# for i in $list; do cp -v $i test1$i; done ]# list=`ldd /bin/bash | egrep -o '/lib.*\.[0-9]'` ]# for i in $list; do cp -v $i test1$i; done ]# chroot test1 ]# ls # 看到的是自己创建的几个目录需要明确的是,rootfs只是一个操作系统所包含的文件、配置和目录,并不包括操作系统内核。在linux操作系统中,这两部分是分开的,操作系统只有在开机启动时才会加载指定版本的内核镜像。
由于rootfs里打包的不只是应用,而是整个操作系统的文件和目录,也就意味着,应用以及它运行所需要的所有依赖,都被封装在了一起。对一个应用来说,操作系统本身才是它运行所需要的完整的“依赖库”。
这种深入到操作系统级别的运行环境一致性,保证了应用在本地开发和远端执行环境的一致性。
docker在镜像的设计中,引入了层的概念。也就是说,用户制作镜像的每一步操作,都会生成一个层,也就是一个增量rootfs
由于aufs文件系统没有集成在红帽系列操作系统中,只有在ubuntu等操作系统中才有此文件系统,在centos中,安装完docker(centos中,1.12.1有devicemapper,1.13.1之后没有见到devicemapper了,改成了overlay2),它的文件系统就被称为devicemapper文件系统,所以启动容器后,也就会分层挂载到/var/lib/docker/devicemapper/mnt目录下
当容器启动后,在对应的分层中有rootfs文件夹,该文件夹中就是完整的操作系统,容器停止后,该目录自动消失,取消挂载
docker容器的rootfs分层有三部分组成:只读层(ro+wh) + init层(ro+wh) + 可读写层(rw)
wh: whiteout,当删除当前某个文件时,会创建一个隐藏文件,盖住你要删除的文件,也就是说,你删除的这个文件,在下层还是存在的,只是在当前被遮盖了而已。
init 层:以 -init结尾的层,夹在只读层和读写层之间。init是docker项目单独生成的一个内部层,专门用来存放/etc/hosts,/etc/resolv.conf等信息。
